文档介绍:摘 要现有的计算机取证模型普遍存在缺乏基本的需求分析、取证过程无时间性约束、交叉重复工作表述不明确、取证全程缺乏有效监督、取证过程法律约束不明确等等问题,不能很好适应取证工作的需要。为此,我们设计了实用化的计算机取证工作模型,该模型将计算机取证工作分成五个阶段,各阶段按计算机取证工作流程关系衔接,以保证工作过程的有序关联,在每个工作阶段都附之与工作阶段的证据要求相适应的证据属性约束条件,形成计算机取证工作与证据法律要求的有机融合,真正实现了获取计算机证据的目的。为了便于人们更清楚地了解计算机取证活动,使用Petri网形式化描述了实用的计算机取证工作模型。根据实用化的计算机取证工作模型的框架要求,首先提出了计算机取证工具和自选工具的应用标准,规定了到达取证现场后需要立即采取的证据保护措施。然后对取证工作的需求进行了具体的分析,找出了核心工作内容和与之对应的操作方法,保证在证据提取阶段有效获取证据或发现深入工作的行动线索。对于取证阶段的部分内容,如恢复文件、IP地址追踪等,进行了较深入的讨论,给出了某些具体问题的解决方法,这些内容对实际的取证工作有帮助、指导意义。基于证据分析的需要,提出了系统功能相关性、时间相关性、行为相关性分析的方法,这些方法能够满足获取特殊计算机证据的要求。为了帮助取证人员有目的地使用证据分析法,对各种分析方法的适用对象或范围进行了界定。为了加深对证据分析方法的理解,有些内容以实例的形式展示,以便取证人员能更有效地利用这些工具,发掘取证或深入工作的切入点。最后,给出了计算机取证工作流程框图,利用流程框图既详细规划了计算机取证的工作内容,又明晰了具体的取证操作流程,使计算机取证工作不再是空洞、宏观、形式化的理论。关键词:计算机,取证模型,证据提取,分析证据,eedsanalysis,theevidenceoftimingconstraints,statementsofcross-,,ineachstageoftheworktothestagewiththeevidencerequirementsoftheevidenceattributerestrictiveconditions,,,puterfirstly,-,suchasrestoringfiles,IPaddresstracing,andadvancedsomesolution,,WehaveadvancedsomemethodssuchasCorrelationfunctionofthesystem,relevantfunctionstimecorrelation,correlationanalysisofthemethods,,someofthecontentsintheformofexamplestoshowtheevidencetoenablemoreeffectiveuseofthesetoolstoexploreindepththeworkoftheevidenceorentrypoint。Finally,puterForensicsworkflowdiagram,puterf